Trojaner!!!!!!!!!

von **OnurS** am 13.10.2006, 17:00

hallo leute hab einen trojaner auf pc kann weder tskmanager öffnenn noc hrege edit !!!

Logfile of HijackThis v1.99.1
Scan saved at 16:58:25, on 13.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
O:\Downloads\Programme\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BD881400-2ADD-5156-055C-724B87C5251B} - (no file)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 2.2.89.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://onurs32.spaces.live.com//PhotoUp ... nPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5645BBEF-3E28-46A9-8968-5EC7887B426C}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\progra~1\kasper~1\kasper~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)

vieln dank schonmal...

von **gipsy111** am 13.10.2006, 18:39

Cleanup
stelle den CleanUp genauso ein, wie hier angegeben: (+ PC neustarten)
http://virus-protect.org/cleanup.html
_____________________________________________________________________

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

O2 - BHO: (no name) - {BD881400-2ADD-5156-055C-724B87C5251B} - (no file)

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing)

PC neustarten

_____________________________________________________________________

gehe in die Registry

Start->Ausführen --> regedit

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0
DisableRegistryTools = "dword:00000001" --> auf 0

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

»»»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ - disablecad -> löschen

Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

_____________________________________________________________________

Datfindbat
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

_____________________________________________________________________

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html

in: "Enter search strings" (reinschreiben oder reinkopieren)

scvhost

in edit und klicke "Ok".
Notepad wird sich öffnen -

_____________________________________________________________________

danach geht's weiter :wink:

von **OnurS** am 13.10.2006, 20:24

also ich habe alle trojaner mit Security task manager gelöscht. jetzt ist der pc nicht mehr verseucht. Der registrierungs editor funktioniert jetzt super. der Taskmanager öffnet sich auch, jedoch funktioniert es NICHt richtig!ich habe beide registry einträge gelöscht (also disabletaskmgr etc.), davor natürlich die beiden einträge zur sicherheit nochmal gespeichert. Der taskmanager öffnet sich zwar, doch die CPU auslaustung ist immer auf 100% obwohl ich nichts merke, die auslastung ist immer exakt bei jedem prozess gleich (als ob der taskmanager "eingefroren" wär), gibts hier für eine lösung ?

von **gipsy111** am 13.10.2006, 20:28

Führe trotzdem alle meine angegebene Schritte durch!! Ich glaube nicht, dass dein PC wieder ok ist! Und außerdem dein PC ist mit einem Backdoor befallen und mit diesem ist nicht zu spaßen! :wink:

von **OnurS** am 13.10.2006, 20:46

also die eingabeaufforderung geht bei mir nicht

finde keinen registry eintrag names disable CMD in

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\

:shock:

von **OnurS** am 13.10.2006, 20:48

hier

von **gipsy111** am 13.10.2006, 21:08

Poste bitte das neue Logfile von HijackThis!!

von **OnurS** am 13.10.2006, 21:09

hier bitte

Logfile of HijackThis v1.99.1
Scan saved at 21:09:20, on 13.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\system32\svchost.exe
O:\Downloads\Programme\wmp11-windowsxp-x86-de-de.exe
C:\DOKUME~1\Azad\LOKALE~1\Temp\IXP000.TMP\setup_wm.exe
C:\DOKUME~1\Azad\LOKALE~1\Temp\IXP000.TMP\wmp11.exe
o:\be28faf7c9fc5ff5c247e57d4842dc\update\update.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
O:\Downloads\Programme\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\Azad\LOKALE~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 2.2.89.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://onurs32.spaces.live.com//PhotoUp ... nPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5645BBEF-3E28-46A9-8968-5EC7887B426C}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\progra~1\kasper~1\kasper~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)

von **gipsy111** am 13.10.2006, 22:20

Hast du nach dem Fixen den PC neugestartet ?

Untersuche den Punkt nochmal ganz genau!!

gehe in die Registry

Start->Ausführen --> regedit

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0
DisableRegistryTools = "dword:00000001" --> auf 0

»»»
HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn.

»»»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ - disablecad -> löschen

Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

von **OnurS** am 13.10.2006, 22:33

ja hab ich, ne leider find ich das nicht das geht weiterhin nicht....

von **OnurS** am 13.10.2006, 22:42

ok habs gefunden allerdings war es in der folgendes registry

HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Windows\ System

ich poste gleich das mit datfindbat!

von **OnurS** am 13.10.2006, 22:45

so hier bidde

SYSTEM 32

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 8CC8-B133

Verzeichnis von C:\WINDOWS\system32

13.10.2006 22:28 63.639 nvapps.xml
13.10.2006 22:27 1.374 wpa.dbl
13.10.2006 21:29 34.308 BASSMOD.dll
13.10.2006 21:22 403.968 perfh009.dat
13.10.2006 21:22 63.188 perfc009.dat
13.10.2006 21:22 418.970 perfh007.dat
13.10.2006 21:22 76.014 perfc007.dat
13.10.2006 21:22 972.318 PerfStringBackup.INI
13.10.2006 20:28 16.832 amcompat.tlb
13.10.2006 20:28 23.392 nscompat.tlb
13.10.2006 16:38 34.837 ckl009.dat
13.10.2006 16:26 163.328 wsock32.sys
13.10.2006 14:57 1.240.252 48237V8MPV.ini
13.10.2006 14:14 33.392 sschk.trb
13.10.2006 14:14 269.392 trupd.trb
13.10.2006 14:14 252.512 trjscan.trb
13.10.2006 01:36 306.808 FNTCACHE.DAT
13.10.2006 00:21 43.520 CmdLineExt03.dll
12.10.2006 15:26 6.580 KGyGaAvL.sys
12.10.2006 15:26 88 2826C563E3.sys
09.10.2006 16:26 1.626.688 rmt.trb
08.10.2006 21:36 56 E363C52628.sys
08.10.2006 19:06 836.160 rmvtrjan.trb
04.10.2006 22:03 9.639.336 MRT.exe
29.09.2006 22:38 167.936 SpoonUninstall.exe
27.09.2006 12:54 98.304 CmdLineExt.dll
25.09.2006 17:57 27 mcheck.mhf
23.09.2006 11:41 62.672 xinput1_1.dll
23.09.2006 11:41 36.864 dxinputdll.dll
15.09.2006 21:29 181.736 rmoc3260.dll
15.09.2006 21:29 5.632 pndx5032.dll
15.09.2006 21:29 6.656 pndx5016.dll
15.09.2006 21:29 278.528 pncrt.dll
13.09.2006 07:02 1.084.416 msxml3.dll
05.09.2006 15:57 24.072 uxtuneup.dll
04.09.2006 08:12 1.494.016 shdocvw.dll
25.08.2006 17:46 617.472 comctl32.dll
25.08.2006 05:47 1.309.432 pxsfs.dll
25.08.2006 05:47 39.672 vxblock.dll
25.08.2006 05:47 379.640 pxwave.dll
25.08.2006 05:47 183.032 pxmas.dll
25.08.2006 05:47 115.880 pxinsi64.exe
25.08.2006 05:47 67.240 pxhpinst.exe
25.08.2006 05:47 477.944 pxdrv.dll
25.08.2006 05:47 63.144 pxcpya64.exe
25.08.2006 05:47 514.808 px.dll
25.08.2006 05:47 62.632 pxinsa64.exe
25.08.2006 05:47 129.784 pxafs.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
17.08.2006 19:27 245.760 cemetrix.dll
17.08.2006 19:25 8.464 sporder.dll
16.08.2006 16:23 53.248 GEARSEC.EXE
16.08.2006 16:23 78.896 GEARASPI.DLL
16.08.2006 13:58 100.352 6to4svc.dll
12.08.2006 13:03 43.668 xvid-uninstall.exe
30.07.2006 21:19 516.096 WBOCX.OCX
29.07.2006 19:32 48.936 sirenacm.dll
29.07.2006 19:22 1.806 TRJ_NTAUTO.TMP
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 23:18 83 buyurl0502.dat
27.07.2006 15:25 679.424 inetcomm.dll
26.07.2006 11:08 58.952 MsgPlusLoader.dll
25.07.2006 22:46 7.247 jupdate-1.5.0_06-b05.log
25.07.2006 22:37 90 spupdwxp.log
25.07.2006 22:33 615.936 urlmon.dll
25.07.2006 21:58 1.352 wpa.bak
25.07.2006 21:14 1.263 $winnt$.inf
25.07.2006 21:10 596 UNDO_GUIMODE.TXT
21.07.2006 10:29 72.704 hlink.dll
17.07.2006 17:19 579.090 x264vfw.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 20:02 5.120 ff_vfw.dll
05.07.2006 12:55 1.057.792 kernel32.dll

SYSTEMTEMP

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 8CC8-B133

Verzeichnis von C:\DOKUME~1\Azad\LOKALE~1\Temp

13.10.2006 22:31 512 ~DF7765.tmp
13.10.2006 22:31 344.064 ~DF7730.tmp
13.10.2006 22:31 512 ~DF4EF4.tmp
13.10.2006 22:31 409.600 ~DF4EE7.tmp
13.10.2006 22:30 16.384 ~DFAF8C.tmp
13.10.2006 21:33 3.668 cnvAB.tmp
13.10.2006 21:27 3.668 cnvAA.tmp
13.10.2006 21:00 0 aaxA5.tmp
13.10.2006 20:53 0 aaxA1.tmp
13.10.2006 20:16 16.384 ~DFE9C7.tmp
13.10.2006 20:16 16.384 ~DF7604.tmp
13.10.2006 18:13 16.384 ~DFE4DD.tmp
13.10.2006 17:21 172.808 java_install_reg.log
13.10.2006 16:29 16.384 ~DF71AA.tmp
13.10.2006 16:23 62.291 BWInstall.log
13.10.2006 15:42 69.632 UninstallRC-4476822.dll
13.10.2006 15:42 24.613 IadHide5.dll
13.10.2006 15:42 23.564 BWDump.log
13.10.2006 15:32 1.282.048 $$$reghive
13.10.2006 15:22 16.384 ~DF5AD0.tmp
13.10.2006 15:02 163.840 ~DFFC1D.tmp
13.10.2006 14:57 16.384 ~DF19CE.tmp
13.10.2006 14:29 163.840 ~DFE664.tmp
13.10.2006 14:10 16.384 ~DFEAF7.tmp
13.10.2006 02:33 16.384 ~DF474D.tmp
13.10.2006 01:52 16.384 ~DFBBD3.tmp
13.10.2006 01:51 16.384 ~DF2BBC.tmp
13.10.2006 01:17 786.432 ~DFC687.tmp
13.10.2006 00:21 24.744 SIntfNT.dll
13.10.2006 00:21 20.016 SIntf32.dll
13.10.2006 00:21 12.305 SIntf16.dll
12.10.2006 22:16 0 ~166.tmp
12.10.2006 21:22 5.074 Ner163.tmp
12.10.2006 21:20 0 TempCover3
12.10.2006 21:19 0 TempCover2
12.10.2006 20:52 16.384 ~DF882D.tmp
12.10.2006 15:59 0 aax37.tmp
12.10.2006 15:26 1.391 PCULog2.txt
12.10.2006 14:41 16.384 ~DF5BF8.tmp
12.10.2006 03:00 16.384 ~DF2316.tmp
12.10.2006 00:38 4.379 PCULog1.txt
12.10.2006 00:38 3 Twain001.Mtx
12.10.2006 00:38 20.979 PCULog0.txt
09.10.2006 20:50 695 TWAIN.LOG
11.08.2004 01:39 2.362.104 setb2.tmp
11.08.2004 01:38 380.144 setb0.tmp
11.08.2004 00:41 229.376 setb1.tmp
47 Datei(en) 6.801.678 Bytes
0 Verzeichnis(se), 9.658.654.720 Bytes frei

SYSTEM

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 8CC8-B133

Verzeichnis von C:\WINDOWS

13.10.2006 22:41 1.794.925 WindowsUpdate.log
13.10.2006 22:29 46.724 wmsetup.log
13.10.2006 22:29 384 wmsetup10.log
13.10.2006 22:28 650 win.ini
13.10.2006 22:28 227 system.ini
13.10.2006 21:58 62.002 spupdsvc.log
13.10.2006 21:57 0 0.log
13.10.2006 21:55 2.048 bootstat.dat
13.10.2006 21:51 9.564 wmp11.log
13.10.2006 21:24 72.142 iis6.log
13.10.2006 21:24 99.859 ntdtcsetup.log
13.10.2006 21:24 164.478 comsetup.log
13.10.2006 21:24 184.328 tsoc.log
13.10.2006 21:24 26.091 ocmsn.log
13.10.2006 21:24 4.625 imsins.log
13.10.2006 21:24 240.259 ocgen.log
13.10.2006 21:24 23.586 msgsocm.log
13.10.2006 21:24 454.048 FaxSetup.log
13.10.2006 21:22 975.508 setupapi.log
13.10.2006 20:47 50 wiaservc.log
13.10.2006 20:47 159 wiadebug.log
13.10.2006 20:28 20.469 updspapi.log
13.10.2006 20:27 1.393 imsins.BAK
13.10.2006 20:27 7.246 Wudf01000Inst.log
13.10.2006 20:27 15.329 WMFDist11.log
13.10.2006 20:26 316.640 WMSysPr9.prx
13.10.2006 20:25 0 setupact.log
13.10.2006 20:25 0 setuperr.log
13.10.2006 18:27 32.594 SchedLgU.Txt
13.10.2006 18:14 225 DHCPUPG.LOG
13.10.2006 18:14 12.051 WINNT32.LOG
13.10.2006 18:14 1.395 UPGRADE.TXT
13.10.2006 18:14 28.473 wsdu.log
13.10.2006 16:24 1.241 fsdgunst.log
13.10.2006 16:24 2.867 fsmaunin.log
13.10.2006 16:24 121.824 ntbtlog.txt
13.10.2006 16:24 547 daasunin.LOG
13.10.2006 16:24 558 FSGUIINS.LOG
13.10.2006 16:24 487 fstnbins.LOG
13.10.2006 16:24 33.063 fsavunin.log
13.10.2006 16:24 3.869 FSASWUNI.LOG
13.10.2006 16:24 22.142 fwesinst.log
13.10.2006 16:04 1.092 fsiuupd.log
13.10.2006 16:04 218.654 RunSetup.log
13.10.2006 16:04 4.166.288 FSISU.log
13.10.2006 16:04 2.864.471 FSSFM.log
13.10.2006 16:04 128.968 FSPROD.log
13.10.2006 16:04 801.734 FSSETUP.log
13.10.2006 16:04 4.756 FSSYSUPD.LOG
13.10.2006 16:04 14.770 fsmainst.log
13.10.2006 16:04 7.931 FSAVCSIN.LOG
13.10.2006 16:04 8.017 FSASWINS.LOG
13.10.2006 16:04 1.997 fsdginst.log
13.10.2006 16:03 7.996 fsrif.log
13.10.2006 16:03 29.602 FSAVINST.LOG
13.10.2006 16:03 2.150 DAASINST.LOG
13.10.2006 16:02 56.733 FSDEPH.log
13.10.2006 16:02 9.592 FSSGSUP.LOG
13.10.2006 16:01 167.567 fssgpex.LOG
13.10.2006 15:48 9.598 fsbwinst.log
13.10.2006 15:41 1.674 Q-Klez.log
13.10.2006 14:19 16.162 KB924191.log
13.10.2006 14:18 15.972 KB922819.log
13.10.2006 14:18 15.138 KB923414.log
13.10.2006 14:17 15.160 KB924496.log
13.10.2006 14:12 12.049 KB923191.log
12.10.2006 21:17 430.487 DirectX.log
12.10.2006 13:11 3.416 ModemLog_NetoDragon 56K Voice Modem.txt
12.10.2006 02:18 54.156 QTFont.qfn
12.10.2006 00:11 1.168 XPlite.log
11.10.2006 20:45 250 svcpack.log
11.10.2006 02:56 906.937 AutoPlay Media Studio 6.0 Mega Content Pack Setup Log.txt
11.10.2006 02:53 20.640 AutoPlay Media Studio 6.0 Patch Log.txt
11.10.2006 02:53 170.184 AutoPlay Media Studio 6.0 Setup Log.txt
05.10.2006 17:53 32 CD_Start.INI
04.10.2006 21:08 73.216 cadkasdeinst01.exe
04.10.2006 20:17 318 wininit.ini
04.10.2006 01:37 77.887 spslpsrm.log
01.10.2006 23:53 203 GSdx9.INI
01.10.2006 13:24 67 #1 DVD Ripper.INI
30.09.2006 14:44 116 NeroDigital.ini
30.09.2006 14:43 115.054 GXTranscoder v2 Uninstaller.exe
29.09.2006 22:27 0 graphedt.INI
28.09.2006 19:58 1.905 diagwrn.xml
28.09.2006 19:58 1.905 diagerr.xml
27.09.2006 22:07 10.598 KB925486.log
26.09.2006 22:06 1.409 QTFont.for
15.09.2006 21:30 6.647 mozver.dat
13.09.2006 01:33 11.322 KB920685.log
13.09.2006 01:33 13.129 KB920872.log
13.09.2006 01:33 11.488 KB919007.log
13.09.2006 01:33 7.759 KB922582.log
05.09.2006 21:16 159.744 LgxSetup.exe
05.09.2006 20:05 4.609 WgaNotify.log
13.08.2006 14:11 400 ODBC.INI
13.08.2006 13:50 232 BUHL.INI
12.08.2006 23:57 15.855 KB920214.log
12.08.2006 23:57 15.848 KB922616.log
12.08.2006 23:57 16.244 KB921398.log
12.08.2006 23:57 19.565 KB918899.log
12.08.2006 23:56 12.209 KB920670.log
12.08.2006 23:56 12.367 KB917422.log
12.08.2006 23:56 12.726 KB920683.log
08.08.2006 22:05 11.094 KB921883.log
29.07.2006 21:38 66 wiso.ini
29.07.2006 18:53 32 go
26.07.2006 23:28 23.345 KB917734.log
26.07.2006 23:27 33.096 KB899587.log
26.07.2006 23:27 31.835 KB885835.log
26.07.2006 23:27 31.020 KB885836.log
26.07.2006 23:27 31.894 KB911927.log
26.07.2006 23:27 31.389 KB901017.log
26.07.2006 23:27 31.710 KB899591.log
26.07.2006 23:27 31.901 KB896424.log
26.07.2006 23:27 31.827 KB893756.log
26.07.2006 23:27 30.927 KB911280.log
26.07.2006 23:26 30.322 KB911562.log
26.07.2006 23:26 27.471 KB896423.log
26.07.2006 23:26 30.125 KB900485.log
26.07.2006 23:26 29.294 KB917159.log
26.07.2006 23:26 28.330 KB873339.log
26.07.2006 23:26 28.396 KB888113.log
26.07.2006 23:26 28.341 KB887472.log
26.07.2006 23:26 29.372 KB896358.log
26.07.2006 23:26 22.972 KB910437.log
26.07.2006 23:26 18.796 KB911564.log
26.07.2006 23:25 27.863 KB891781.log
26.07.2006 23:25 28.666 KB918439.log
26.07.2006 23:25 32.952 KB902400.log
26.07.2006 23:25 25.492 KB890046.log
26.07.2006 23:25 25.280 KB914388.log
26.07.2006 23:25 23.886 KB917344.log
26.07.2006 23:25 23.874 KB905414.log
26.07.2006 23:25 23.142 KB917953.log
26.07.2006 23:25 22.806 KB901214.log
26.07.2006 23:24 22.194 KB888302.log
26.07.2006 23:24 24.201 KB900725.log
26.07.2006 23:24 22.690 KB912919.log
26.07.2006 23:24 16.377 KB886185.log
26.07.2006 23:24 22.221 KB916595.log
26.07.2006 23:24 21.874 KB904706.log
26.07.2006 23:24 22.207 KB908531.log
26.07.2006 23:24 21.677 KB905749.log
26.07.2006 23:24 24.603 KB916281.log
26.07.2006 23:23 19.492 KB913580.log
26.07.2006 23:23 17.724 KB896428.log
26.07.2006 23:23 17.769 KB911567.log
26.07.2006 23:23 17.854 KB894391.log
26.07.2006 23:23 16.607 KB908519.log
26.07.2006 23:23 17.082 KB914389.log
26.07.2006 23:23 18.484 KB890859.log
26.07.2006 21:05 7.328 KB893803v2.log
26.07.2006 21:05 9.163 KB898461.log
26.07.2006 18:49 754 WORDPAD.INI
26.07.2006 13:13 25 cdplayer.ini
25.07.2006 22:43 1.337 OEWABLog.txt
25.07.2006 22:39 731 DtcInstall.log
25.07.2006 22:29 200 cmsetacl.log
25.07.2006 22:28 4.285 sessmgr.setup.log
25.07.2006 22:13 605 medctroc.Log
25.07.2006 22:04 299.552 WMSysPrx.prx
25.07.2006 21:17 716 Windows Update.log
25.07.2006 21:11 2.750 regopt.log
25.07.2006 21:02 1.442 COM+.log
25.07.2006 20:36 0 nsreg.dat
14.07.2006 17:29 966.656 UNRecode.exe
14.07.2006 17:29 966.656 UNNeroVision.exe
14.07.2006 17:29 966.656 UNNeroShowTime.exe
14.07.2006 17:29 966.656 UNNeroMediaHome.exe
14.07.2006 17:29 966.656 UNNeroBackItUp.exe
26.04.2006 20:21 23.638 super.chm
24.10.2005 11:13 66.560 MOTA113.exe
13.10.2005 21:27 422.400 x2.64.exe

TMP

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 8CC8-B133

Verzeichnis von C:\WINDOWS\Temp

13.10.2006 22:28 409 WGANotify.settings
13.10.2006 22:27 255 WGAErrLog.txt
13.10.2006 21:55 16.384 ~DFEA02.tmp
13.10.2006 20:11 16.384 ~DFEB6F.tmp
13.10.2006 18:29 16.384 ~DFE9DC.tmp
13.10.2006 18:05 16.384 ~DFEB0A.tmp
13.10.2006 16:26 16.384 ~DFE9D2.tmp
13.10.2006 16:01 442 apub2
13.10.2006 15:42 24.613 IadHide5.dll
13.10.2006 15:19 16.384 ~DFE98F.tmp
13.10.2006 14:54 16.384 ~DFE894.tmp
13.10.2006 14:16 5.012 ASPNETSetup_00001.log
13.10.2006 14:07 16.384 ~DFE8B5.tmp
13.10.2006 02:55 16.384 ~DFE90B.tmp
13.10.2006 02:30 16.384 ~DFE721.tmp
13.10.2006 02:27 16.384 ~DFE80C.tmp
13.10.2006 01:48 16.384 ~DFE5B8.tmp
13.10.2006 01:42 16.384 ~DFE4AE.tmp
12.10.2006 19:42 16.384 ~DFDECD.tmp
12.10.2006 14:38 16.384 ~DFDA36.tmp
12.10.2006 12:44 16.384 ~DFDB3B.tmp
12.10.2006 01:37 16.384 ~DFDA8B.tmp
11.10.2006 14:46 16.384 ~DFD4E6.tmp
11.10.2006 00:46 16.384 ~DFD9FB.tmp
10.10.2006 22:40 16.384 ~DF1D0D.tmp
10.10.2006 22:14 16.384 ~DF3FD4.tmp
10.10.2006 16:01 16.384 ~DFDB5A.tmp
10.10.2006 13:47 16.384 ~DFD648.tmp
27.09.2006 16:38 14.520 PQ_DEBUG.TXT
27.09.2006 16:38 1.311 PQ_BATCH.PQB
27.09.2006 15:36 16.384 Perflib_Perfdata_b3c.dat
26.09.2006 21:35 34.334 PQ_DEBUG.001
26.09.2006 21:35 1.353 PQ_BATCH.001
18.09.2006 15:28 368.204 VolutaScriptPro-Regular.ttf
18.09.2006 15:28 135.072 LinotextStd.ttf
18.09.2006 15:28 129.996 HelveticaLTStd-Roman.ttf
18.09.2006 15:28 135.884 Caslon3LTStd-Italic.ttf
18.09.2006 15:28 594.096 ArcanaGMMStd-Manuscript.ttf
18.09.2006 15:28 35.128 TCM07b.ttf
18.09.2006 15:28 35.108 TCM07.ttf
18.09.2006 15:28 35.108 TCM01.ttf
28.08.2006 14:28 5.012 ASPNETSetup_00000.log
26.08.2006 12:28 16.384 Perflib_Perfdata_89c.dat
20.08.2006 17:00 8.192 cch~6b57123e.htp
20.08.2006 17:00 8.192 cch~6b57099f.htp
45 Datei(en) 1.981.841 Bytes
0 Verzeichnis(se), 9.658.609.664 Bytes frei

DOWN

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 8CC8-B133

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
20.06.2006 15:44 379.704 MsnPUpld.dll
20.06.2006 15:44 117.560 PURen-us.dll
19.06.2006 14:40 393 MsnPUpld.inf
17.05.2006 23:08 353.968 FPDC.dll
20.03.2006 17:34 484.272 isusweb.dll
20.03.2006 17:34 24.576 dwusplay.dll
20.03.2006 17:34 196.608 dwusplay.exe
28.10.2002 15:07 65 desktop.ini
19.06.2002 14:11 117.088 puren-ww.dll
10 Datei(en) 1.679.266 Bytes
0 Verzeichnis(se), 9.658.597.376 Bytes frei

SYS

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: 8CC8-B133

Verzeichnis von C:\

13.10.2006 22:43 0 sys.txt
13.10.2006 22:43 736 down.txt
13.10.2006 22:43 2.548 tmp.txt
13.10.2006 22:43 11.703 system.txt
13.10.2006 22:43 2.540 systemtemp.txt
13.10.2006 22:42 107.432 system32.txt
13.10.2006 22:28 213 boot.ini
13.10.2006 21:55 1.207.959.552 PAGEFILE.SYS
13.10.2006 02:44 714 DisableRegistryTools.zip
13.10.2006 02:43 260 exefile_command_standard.zip
13.10.2006 02:14 464 restore.reg
29.09.2006 17:17 1.252 Dateiliste.htm
28.09.2006 20:12 0 nt52
18.09.2006 15:31 6.226 crashAddress.txt
06.09.2006 20:19 3.896 xx.rtf
02.09.2006 22:29 10.148 files.txt
22.08.2006 08:12 435.752 bootmgr
17.07.2006 02:00 4.952 bootfont.bin
17.07.2006 02:00 47.564 NTDETECT.COM
17.07.2006 02:00 251.184 ntldr
28.10.2002 15:08 0 IO.SYS
28.10.2002 15:08 0 MSDOS.SYS
28.10.2002 15:08 0 AUTOEXEC.BAT
28.10.2002 15:08 0 CONFIG.SYS
24 Datei(en) 1.208.847.136 Bytes
0 Verzeichnis(se), 9.658.568.704 Bytes frei

sooooo endlich

von **gipsy111** am 13.10.2006, 22:55

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Files to delete:

C:\WINDOWS\system32\lollol.sys
C:\WINDOWS\system32\del32.bat
C:\WINDOWS\system32\wsock32.sys
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\scvhost.exe

klicke die "grüne Ampel" im Avenger
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das Log, was erscheint
_____________________________________________________

Counterspy
Anleitung: http://virus-protect.org/counterspy.html

* Klicke: "Run a Spyware Scan Now"
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab)
______________________________________________________

Ewido scannen lassen und lasse alles löschen was er findet und poste den Report
http://www.virus-protect.org/ewido.html

von **OnurS** am 13.10.2006, 23:09

ok mach ich ewi

von **oemer** am 13.10.2006, 23:18

boah...du musst ein profi sein, um solche proibleme zu lösen!!

naja...ich hoffe du schaffst es!!!

mfg

Trojaner!!!!!!!!!

Trojaner!!!!!!!!!

Ähnliche Themen

Wer ist online?